Блог 

«Шуметь» или не «шуметь»? Роскомнадзор против ФСТЭК и идей отдельных «недозащитников»…

В последние недели ушедшего 2015 года в сфере образования Югры произошли события, которые наш профессиональный взгляд не мог обойти стороной.
Обозначилось и уже начало реализовываться намерение образовательных учреждений  использовать генераторы шума для подавления мобильных устройств учеников в ходе проведения итоговой аттестации (ГИА). Предполагается, что использование генераторов шума (подавителей мобильных устройств и т.п.) снизит риски передачи ответов на экзаменационные вопросы и поиска ответов в открытых ресурсах сети Интернет во время проведения ЕГЭ.
Данный вопрос вызвал бурное обсуждение на разных уровнях (от Депобра Югры до администраций муниципальных образований и конечных пунктов приёма и проведения ГИА), в котором (в основном кулуарно) пришлось поучаствовать и мне…

Вот по данному случаю и выносится на обсуждение многолетняя неразрешимая дилемма по поводу применения генераторов шума (подавителей сотовых телефонов и т.п.) для обеспечения защиты информации на объектах, обрабатывающих конфиденциальную информацию.
Преамбула:
В нашей практической деятельности конечно использование различного рода ГШ для защиты от утечки по ТКУИ не новость и применяем мы их постоянно. В большей части для защиты информации составляющей государственную тайну от её утечки по техническим каналам.
У Вашего покорного слуги множество «забавных» случаев, связанным с эксплуатацией данных устройств, множество представителей заказчиков коих удалось спасти и вразумить на использование данных устройств в соответствии с формулярами… Встречались случаи использования ГШ для защиты от ПЭМИН в помещениях где нет ПЭВМ или др.устройств обработки цифровой информации, были «несчастные» применяющие ГШ в круглосуточном режиме…
Позиция Александра и Ко..:
Нужно понимать, что при защите ГТ избежать этого (при крайне малых контролируемых зонах и с учётом возможностей иностранной разведки) крайне не легко. Да и примененяется ГШ  только в момент обработки секретной информации, что происходит на объектах не так часто.
А вот с применением ГШ для защиты персональных данных, да ещё и в социальных учреждениях – для нас вопрос давно решённый. Мы всеми «правдами и неправдами» применения этого стараемся избежать.
В этом посте мы взываем к разуму Заказчиков и коллег, устанавливающих ГШ в Социальных учреждениях города, в образовательных и других не представляющих интереса для иностранных спецслужб:
«Друзья-заказчики разбирайтесь детально с предложениями «защитить» Вас разными блокираторами (генераторами) шума. Коллеги-лицензиаты не истощайте и без того похудевшие бюджеты разного уровня путём продаж в социальные учреждения генераторов, лучше зарабатывайте мероприятиями, имеющими реальную актуальность (от антивирусной защиты до разработки и внедрения политик ИБ)».
Ликбез для чиновников сферы образования и иже с ними:
1. В соответствии с действующим законодательством РФ (Постановление Правительства Российской Федерации от 12 октября 2004 г. N 539 и множественные решения и приказы ГКРЧ и Роскомнадзора) действует порядок регистрации радиоэлектронных средств и высокочастотных устройств гражданского назначения (в список, утверждённый правительством РФ, генераторы шума входят). Регистрация осуществляется Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций по заявлению владельца радиоэлектронных средств и (или) высокочастотных устройств или пользователя радиоэлектронного средства (далее — заявитель). Под владельцем радиоэлектронных средств и высокочастотных устройств понимается лицо, у которого эти средства или устройства находятся в собственности, на праве хозяйственного ведения или на праве оперативного управления либо на ином законном основании (аренда, безвозмездное пользование).
2. Разрешено использовать без оформления отдельных решений ГКРЧ генераторы шума в диапазоне 0,1-1000 МГц Решение ГКРЧ 05-10-03-001 от 28.11.2005 «О выделении полосы радиочастот 0,1-1000 МГц для генераторов радиошума, используемых в качестве средств защиты информации». Это решение ГКРЧ дает право производить ГРШ с диапазоном радиочастот 0,1-1000 МГц и использовать их после получения разрешения на использование радиочастот или радиочастотных каналов и регистрации.
Всем ясно, что сама цель применения ГШ в образовательных учреждениях для выше обозначенной задачи означает применение ГШ с диапазоном выше 1000МГц, на что соответственно нет разрешения.
3. Даже если речь идёт о ГШ в диапазоне 0,1-1000 МГц, то потребуется регистрация генератора (смотрите пункт 1)
4. Никакие сертификаты не отменяют выше указанных требований, ни сертификаты ФСТЭК России, ни сертификаты САНПИН и другие. Сертификаты соответствия говорят лишь о выполнении требований нормативных актов, на соответствие которым собственно и проходила сертификация.
Никакие указания выше стоящих чиновников и руководителей любого ранга также не отменяют требований Постановления Правительства Российской Федерации от 12 октября 2004 г. N 539.
5. Примеры наложения административных штрафов за использование ГШ имеются и в достаточном количестве. Можно изучить сайт Роскомнадзора и убедиться в этом.
Так, при внеплановой проверке Роскомнадзора по «радиочастотному» направлению Департамента здравоохранения города Москвы обнаружен факт эксплуатации генератора шума (для защиты от ПЭМИН) без разрешения на использование радиочастот или радиочастотных каналов и свидетельства о регистрации радиоэлектронного средства. Итог: Штраф (по 13.4 КоАП), генератор шума отключен.
6. Ниже привожу письменный комментарий по данному вопросу начальника отдела регистрации РЭС и ВЧУ Роскомнадзора по Тюменской области Курцева Александра Никитовича:
«В соответствии с п.26 перечня радиоэлектронных средств и высокочастотных устройств, подлежащих регистрации Постановления Правительства Российской Федерации  от 12.10.2004 №539  (в редакции  Постановление Правительства РФ  от 19 марта 2013г № 237)   генераторы шума подлежат регистрации в установленном порядке, что подразумевает получение  разрешения на использование радиочастот или радиочастотных каналов (далее —  РИЧ).
Согласно п.4 решения ГКРЧ от 28.11.2005г № 05-1003-0001 должна быть проведена экспертиза о возможности использования генератора радиошума и их электромагнитной совместимости с действующими и планируемыми для использования радиоэлектронными средствами.
          По вопросу получения РИЧ  для данного устройства  Вам необходимо обратиться  в Центральный аппарат (Управление разрешительной работы в сфере связи) Роскомнадзора по адресу: Китайгородский проезд, д.7, стр.2, Москва, 109074, тел/факс (495) 987-68-10/987-68-09; http://rkn.gov.ru/.
Ответственным за регистрацию подобных устройств является Федеральная служба по надзору в сфере  связи, информационных технологий и массовых коммуникаций.
          Нарушение установленного порядка использования подавителей мобильных телефонов попадает под действие ст. 13.4 Кодекса об административных правонарушениях РФ»
Собственно к обсуждению наши тезисы по случаю применения ГШ для защиты персональных данных и решения других проблем в социальных и других учреждениях Югры
1. Применение ГШ для защиты конфиденциальной информации и для решения других вопросов по предотвращению утечки информации, не составляющей государственную тайну, или предотвращению доступа к таковой (как в случае с ГИА и ЕГЭ) необходимо реализовывать комплексно и кропотливо, решим предварительно следующие вопросы:
— изучить порядок согласования эксплуатации ГШ с Роскомнадзором и проконсультироваться по возможности получения такого разрешения на эксплуатацию;
— обратиться к специалистам по ТЗИ, которые смогут оценить уровень мощности сигналов, необходимых к подавлению и найти эффективное решение.
2. Не забывая о здоровье наших дорогих детей необходимо стараться решать проблемы, подобные проблеме использования на ЕГЭ мобильных устройств, организационными мерами.
3. Необходимо забыть о дилетантских рассуждениях, о том, что «купить и установить» генератор шума и «всё подавить» уж куда ещё проще…
Вы уже «господа» достаточно «нашумели», потратили попусту и без того «худеющий» бюджет и заодно насмешили Ваших школьников приобретением ГШ, которые не «давят» радио, микронаушники, рации в диапазонах: 135 — 174 МГц, 400 — 470 МГц и телефоны  3G: 2110-2170 МГц и  WiFi: 2400-2500 МГц и другие…
Так определитесь же: «вам шашечки или ехать ?»
4. Если всё-таки решения об использовании ГШ не избежать, то привлечь специалистов для:
— выбора наименее вредного для здоровья наших детей устройства;
— выбора по возможности недорого устройства (по возможностям не превышающим потребности в мощности и диапазоне);
— внедрения решения, которое позволит добиться желаемого результата;
— инструктажа  по безопасному и эффективному использованию ГШ.
Ну вот собственно и всё..
От коллег готовы выслушать аргументы за или против данных выводов.

Комментарии

  1. «Шуметь» или не «шуметь»? — Все выше сказанное актуально,емко и по существу..
    В действительности, такие критерии как уровень конфиденциальности защищаемой информации, в проекции на возможные негативные последствия в социально-экономической плоскости, при нарушении основных критериев безопасности информации (за исключением ГТ) и должны определять уровень применяемых средств нейтрализации потенциальных каналов утечки защищаемой информации.
    Также, выражаю свою точку зрения в поддержку выше сформулированных мыслей, по необходимости разумно подходить к данному вопросу в части мероприятий ограничения наших детей от и так слишком нагруженного фона ЭМИ в повседневной жизни. Необходимо исключать максимально и всевозможно от негативного электромагнитного излучения.
    Мне бы к примеру было бы куда приятней осознавать что уполномоченные органы в сфере образования, в замен неэффективно расходуемых средства на приобретение ГШ, повысили уровень и административного планирования и контроля, а также финансового обеспечения таких направлений развития для детей, как туризм с навыками выживания в среде не городского цикла, либо развития навыков коммуникаций учащихся.
    Да и вот, вопрос требует уточнения в части согласованности отданных распоряжений Депобром Югры, с мнением на уровне министерств и ведомств федерации. Чем аргументированы распоряжения Депобра по необходимости применения ГШ? Какой максимально положительный эффект можно спрогнозировать от мероприятий использования ГШ? Практически можно сказать нулевой. Все потенциальные возможности использования беспроводных сетей передачи данных, как потенциальный инструмент доступа к информации необходимой для сдачи экзаменационных испытаний, 99,99% можно нейтрализовать организационными мероприятиями, на объекта ППЭ, в момент сдачи, силами и средствами уполномоченных представителей системы образования.
    В большей части потенциальные угрозы утечки информации в ГИА, могут быть актуальными в связи с низким уровнем организационных мероприятий в области ИБ выполняемых операторами ГИА на всех уровнях, а также уровнем ответственности как административной так и моральной, при которой осознанность сферы образования, определяло бы назначение ГИА , в первую очередь как ориентир на развитие у учащихся интереса к познанию новых знаний и самообучения (поиска интереса) и индивидуальное развития навыков, а не экзаменационный съем сфотографированной в память ребенка картинки ответов, которые логически не понятны учащемуся.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *


Срок проверки reCAPTCHA истек. Перезагрузите страницу.